Cybercrooks, fidye yazılımı dağıtmak için Uzaktan İzleme ve Yönetim (RMM) araçlarının ücretsiz denemelerini kullanıyor, güvenlik uzmanları uyarıyor.
Blackpoint Cyber kurucusu ve CEO’su Jon Murchison, yükselen tehditten korunmak için RMM şirketlerinin ücretsiz deneme sistemlerinde daha fazla kontrol ve dengeye sahip olması gerektiğini, diğer herkesin RMM’lerinde çok faktörlü kimlik doğrulama (MFA) etkin olması gerektiğini söylüyor.
Saldırının aşamalarını açıklayan Murchison, saldırganın önce hedefin VPN kimlik bilgilerini denemek ve elde etmek için kimlik avı kullanacağını açıkladı. Hedef uç noktada oturum açtıktan sonra, tehdit aktörü RMM’nin deneme sürümünü yükler ve bunu, genellikle fidye yazılımı olan ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanır.
Ücretsiz denemeleri takip etme
Murchison, deneme sistemlerinin kurulma şeklinin kesinlikle bir sorun olduğunu, ancak MFA’nın olmamasının işi dolandırıcılar için daha kolay hale getirdiğini söylüyor.
“RMM şirketlerinin ücretsiz deneme sistemlerinde çok daha fazla kontrol ve dengeye sahip olması gerekiyor – sadece insanların arka plan kontrolü olmadan indirmelerine izin vermekle kalmıyor,” dedi.
“Bence büyüklerin çoğu bunu yapıyor, ancak daha küçük olanlar var ve bunu yapmayan yabancılar var. Ücretsiz deneme ile bir çeşit kapı olduğundan emin olmaları gerekiyor. Öylece bir Gmail veya başka bir hesapla kaydolup onu alamazsınız. İnsanlarla konuşman gerek. Kötü bir adamla değil, gerçek bir insanla uğraştığını bilmelisin.”
Gerçi bu pek yeni bir konu değil. Murchison ayrıca şirketinin bir yıldır bu tehdide karşı uyarıda bulunduğunu ve sadece son üç hafta içinde bu tür en az beş saldırı olduğunu da sözlerine ekledi.
CEO, “Mesaj, MSP’lerin gerçekten yazılım envanterlerine bakmaları gerektiğidir, eğer bir RMM kullanırlarsa ve başka bir açılır pencere görürlerse, bu, dikkat etmeniz gereken bir şey olmalıdır” dedi.
Aracılığıyla: CRN